The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"opevpn -- связать несколько локальных сетей."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"opevpn -- связать несколько локальных сетей."  +/
Сообщение от fk0 email(??) on 22-Дек-12, 12:22 
  Как, вкратце, это сделать правильно? Сейчас openvpn живёт сам по себе, отдельно, своя подсеть со своей адресацией. В конечном счёте хочется, чтобы skype или другие программы интернет-телефонии могли траффик пускать какбы через локальную сеть, а на деле через openvpn.

  Допустим у менять LAN такие: 10.20.30.x, 10.20.31.x... Какие сделать адреса внутри openvpn, какой роутинг?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "opevpn -- связать несколько локальных сетей."  +1 +/
Сообщение от pavlinux (ok) on 22-Дек-12, 20:27 
> какой роутинг?

default


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "opevpn -- связать несколько локальных сетей."  +/
Сообщение от AV (??) on 23-Дек-12, 23:10 
>   Как, вкратце, это сделать правильно? Сейчас openvpn живёт сам по
> себе, отдельно, своя подсеть со своей адресацией. В конечном счёте хочется,
> чтобы skype или другие программы интернет-телефонии могли траффик пускать какбы через
> локальную сеть, а на деле через openvpn.
>   Допустим у менять LAN такие: 10.20.30.x, 10.20.31.x... Какие сделать адреса
> внутри openvpn, какой роутинг?

В каждой LAN есть шлюз. На шлюзе поднимаешь один OVPN интерфейс/демон с неким IP, пишешь именно его адрес адресом шлюза по умолчанию на всех машинах в LAN. Дополнительно, на шлюзе можно делать NAT для чего/кого-либо ещё и исходящим ставить OVPN обслуживаемый, виртуальный и-фейс. У всех клиентов нет OVPN, OVPN есть только на шлюзе. Бонус - все ключи под контролем внутри шлюза.

Отдельно маршрутишь куда самому нужно (между собственными шлюзами?) трафик через сокеты внешний.ip.адрес.шлюза:порт, через которые идёт служебный трафик демона OVPN, сокеты на которых слушает/пишет свои служебные пакеты с шифровками OVPN демон.

Подсети внутри каждой LAN, подсети каждого туннеля должны быть разные, все. Не, ну можно иначе, для спорта, но так надёжнее в смысле ошибок в заумных схемах. Что такое разные подсети - см. что такое маска сети. Понятие маска подсети даст идею разбиения под себя "серых" диапазонов адресов.

Если же на каждом клиенте свой OVPN и-фейс. Вроде очевидно: пишется как default gateway IP адрес OVPN и-фейса на шлюзе, остальные маршруты по умолчанию (см. принципы TCP/IP сетей). Делаешь всё тупо: как у тебя у каждого две сетевые карты, у каждой свой отдельный IP адрес, везде какбы два кабеля (один кабель физический, другой кабель виртуальный-OVPN). На шлюзе - тоже два потока. Рулишь эти потоки куда нужно. В этом случае в LAN весь трафик остаётся шифрованным, но это не всем надо.

Размер MTU полезно обдумать.

Подробности? См. инет по теме + 'man ip' (в т.ч. про route), может -  'man route', и 'man iptables'.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "opevpn -- связать несколько локальных сетей."  +/
Сообщение от pavlinux (ok) on 18-Фев-13, 18:44 
:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру